多くの日本企業において、オンプレミスのクライアント管理で大きな役割を果たしてきたのがMicrosoftの「Active Directory」だろう。
社内のユーザー情報やリソースの一元管理、グループポリシーに基づいた動作の制御、リモートアクセスしてきたユーザーの認証など、システム運用上の重要な役割を果たしてきた。その重要性から、サイバー攻撃者は侵入に成功するとまずActive Directoryを狙うのが常だという。
ただ近年、多くのサービスがオンプレミスからIaaS(Infrastructure as a Service)、SaaS(Software as a Service)といったクラウドサービスへの移行が進んだ。テレワークが広がる中で、これまでのようにActive Directoryを使い続けられるかというと疑問が残る。
そこで注目されているのが、Microsoftがクラウドサービスとして提供する「Azure Active Directory」(以下、Azure AD)だ。Azure ADは機能の拡張を続けているが、これまで使い慣れたActive Directoryとは機能面で差異があるのも事実だ。
そこで、Azure ADを活用した開発に携わり、2020年からMicrosoftより「Microsoft MVP Award」の「Microsoft MVP Office Development」を受賞した内田洋行ITソリューションズの大川貴志氏に開発するエンジニア目線の話を聞いた。
また、長年にわたり自治体、教育委員会のITシステム構築・運用サービスの提供に携わり、直近では埼玉県鴻巣市教育委員会の教育ICT基盤のフルクラウド化やAzure AD導入などを担当した内田洋行の永山達也氏に、導入するエンジニア目線の話を聞いた。
前編となる本記事ではActive DirectoryとAzure ADの違いやライセンス選定のポイントを、後編ではAzure ADの強力な機能やオンプレミスからの移行ポイント、運用負荷を減らすコツを解説する。
2013年にAzure ADが発表され、それから10年近く「Microsoft Azure」や「Microsoft 365」といったクラウドサービスとともに活用されてきたが、昨今のコロナ禍で採用が加速しているという。
「オンプレミスのActive Directoryのユーザー認証ですと、まず社内ネットワークにアクセスする必要があります。主な手段はVPNですが、そのVPNに脆弱(ぜいじゃく)性が発見される事態もあり、Azure ADを用いてクラウド上で多要素認証を用いたユーザー認証をすることも一つの選択肢として盛んになっています」(永山氏)
加えてAzure ADは、SAML(Security Assertion Markup Language)をはじめとする技術で、「Salesforce」などMicrosoft 365以外のさまざまなSaaSと連携してシングルサインオンをできる。
一度認証すれば、別のクラウドサービスを利用するたびにIDとパスワードを入力する必要がないため、ユーザーにとって利便性があり、クラウド普及に伴って需要が高まっている。永山氏が導入を支援した団体ではAzure ADとファイル転送システムを連携させている。
Azure ADはオンプレミスではなくインターネット上にあり、インターネットに接続しなければ利用できないという根本的な違いがあるが、システム運用者にとってはもっと重要なポイントがある。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。